Auftragsverarbeitungsvertrag

gemäß Art. 28 DSGVO

Stand: Juli 2026

Dieser Auftragsverarbeitungsvertrag (AVV) ist Bestandteil der Nutzungsbedingungen von NetBaseOS. Du stimmst diesem AVV bei der Registrierung gemeinsam mit den AGB und der Datenschutzerklärung ausdrücklich zu (aktive Bestätigung per Checkbox). Diese Zustimmung wird zu Nachweiszwecken mit Zeitpunkt und Version protokolliert (Art. 5 Abs. 2 DSGVO). Der AVV regelt die Verarbeitung personenbezogener Daten, die du als Verantwortlicher in NetBaseOS einträgst.

1. Vertragsparteien

Auftragsverarbeiter (Anbieter)

Justin Tückmantel
Am Stationsgarten 43
42327 Wuppertal
E-Mail: kontakt@netbaseos.de

Verantwortlicher (Auftraggeber)

Der jeweilige Nutzer von NetBaseOS, der personenbezogene Daten Dritter (z.B. Partner, Kunden, Leads) in die Plattform einträgt und damit die Zwecke und Mittel der Verarbeitung bestimmt.

2. Gegenstand und Dauer

Der Auftragsverarbeiter erbringt für den Verantwortlichen Dienstleistungen im Bereich SaaS-Software (Software-as-a-Service) zur Verwaltung von Netzwerk-Marketing-Aktivitäten. Die Verarbeitung personenbezogener Daten erfolgt dabei im Auftrag des Verantwortlichen.

Die Laufzeit dieses AVV entspricht der Laufzeit des Nutzungsverhältnisses. Er endet automatisch mit der Löschung des Nutzerkontos.

3. Art und Zweck der Verarbeitung

Folgende Verarbeitungstätigkeiten werden im Auftrag durchgeführt:

  • Speicherung und Verwaltung von Kontakt- und Partnerdaten
  • Durchführung von Onboarding-Journeys via Telegram
  • Versand von Erinnerungen und Benachrichtigungen (Telegram, E-Mail)
  • KI-gestützte Analyse von Gesprächsverläufen (auf explizite Nutzeranfrage)
  • Speicherung von Notizen, Gesprächshistorien und Einschätzungen
  • Erfassung von Events, Terminen und Follow-up-Aufgaben
  • Entgegennahme und Speicherung von Kontaktanfragen, die Dritte über die öffentliche Profilseite des Verantwortlichen hinterlassen (Lead-Capture-Formular)

Die Verarbeitung erfolgt ausschließlich zur Erbringung der vereinbarten Plattformleistungen. Eine Nutzung für eigene Zwecke des Auftragsverarbeiters – insbesondere für eigene Network-Marketing-Tätigkeiten – findet nicht statt.

4. Art der personenbezogenen Daten

  • Name, Vorname
  • Kontaktdaten (Telefon, E-Mail, Social-Media-Profile)
  • Geburtsdatum (optional, für Geburtstags-Erinnerungen)
  • Vom Verantwortlichen erfasste Gesprächsnotizen und Einschätzungen
  • Kontakt-/Interaktionshistorie (Zeitpunkt und Art des Kontakts – z.B. Anruf, Treffen, Nachricht – sowie zugehörige Notizen)
  • Onboarding-Status und Journey-Fortschritt
  • Telegram Chat-ID (bei freiwilliger Bot-Verknüpfung)

5. Kategorien betroffener Personen

  • Vertriebspartner des Verantwortlichen
  • Kunden des Verantwortlichen
  • Interessenten und Leads

6. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verpflichtet sich:

  • Personenbezogene Daten ausschließlich auf dokumentierte Weisung des Verantwortlichen zu verarbeiten
  • Zur Verschwiegenheit über alle im Rahmen der Auftragsverarbeitung bekannt gewordenen Daten
  • Geeignete technische und organisatorische Maßnahmen (TOMs) zur Datensicherheit umzusetzen
  • Den Verantwortlichen bei der Erfüllung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) zu unterstützen
  • Nach Beendigung der Leistungserbringung alle personenbezogenen Daten zu löschen oder zurückzugeben
  • Dem Verantwortlichen alle erforderlichen Informationen zur Nachweisführung der Einhaltung dieses Vertrags zur Verfügung zu stellen

7. Technische und organisatorische Maßnahmen (TOMs)

Zutrittskontrolle

Kein physischer Serverzugang durch Dritte; Hosting via Supabase und Vercel in gesicherten Rechenzentren.

Zugangskontrolle

Authentifizierung via Supabase Auth (E-Mail/Passwort oder Google OAuth). Passwörter werden ausschließlich als bcrypt-Hash gespeichert.

Zugriffskontrolle (Datentrennung)

Alle sensiblen Tabellen sind mit Row-Level Security (RLS) geschützt. Jeder Nutzer sieht ausschließlich seine eigenen Daten. Der Admin hat keinen Lesezugriff auf Kontakte, Partner, Notizen, Journeys oder Conversations.

Übertragungssicherheit

Alle Verbindungen erfolgen ausschließlich über HTTPS/TLS-Verschlüsselung.

Protokollierung

Admin-Aktionen werden automatisch protokolliert (Zeitstempel, Nutzer-ID, Aktion, Zeitpunkt). Das Protokoll kann auf Anfrage eingesehen werden.

Datensparsamkeit

Es werden nur die Daten erhoben, die für die Plattformfunktionen notwendig sind. Keine Tracking- oder Werbecookies.

8. Unterauftragnehmer (Sub-Processor)

Der Auftragsverarbeiter setzt folgende Unterauftragnehmer ein, die ebenfalls personenbezogene Daten verarbeiten können:

Supabase Inc. (USA)

Datenbankhosting und Authentifizierung

Rechtsgrundlage: EU-US Data Privacy Framework, Standardvertragsklauseln

Vercel Inc. (USA)

Hosting der Webanwendung; cookielose, anonyme Reichweiten-/Conversion-Messung (Vercel Web Analytics, ohne Personenbezug)

Rechtsgrundlage: EU-US Data Privacy Framework, Standardvertragsklauseln

Telegram FZ-LLC

Bot-Kommunikation (nur bei freiwilliger Verknüpfung)

Rechtsgrundlage: Telegram Privacy Policy

OpenRouter Inc. (USA)

KI-Verarbeitung (nur bei expliziter Nutzung der KI-Funktionen)

Rechtsgrundlage: Standardvertragsklauseln; keine dauerhafte Datenspeicherung

Resend Inc. (USA)

Transaktionale E-Mails (Registrierung, Passwort-Reset)

Rechtsgrundlage: Standardvertragsklauseln

Stripe Inc. (USA)

Zahlungsabwicklung (nur bei kostenpflichtigen Plänen)

Rechtsgrundlage: EU-US Data Privacy Framework

Über wesentliche Änderungen bei Unterauftragnehmern wird der Verantwortliche durch einen Eintrag im Changelog informiert.

9. Rechte des Verantwortlichen

Der Verantwortliche hat das Recht, Audits, Inspektionen oder die Vorlage von Nachweisen zur Einhaltung dieses Vertrags zu verlangen. Entsprechende Anfragen sind schriftlich an kontakt@netbaseos.de zu richten. Der Auftragsverarbeiter stellt alle erforderlichen Informationen zur Verfügung.

10. Datenlöschung nach Vertragsende

Nach Kündigung oder Löschung des Kontos werden alle personenbezogenen Daten des Verantwortlichen und der von ihm eingetragenen Personen innerhalb von 30 Tagen unwiederbringlich gelöscht, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht oder die weitere Aufbewahrung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 lit. e DSGVO).

11. Haftung

Der Verantwortliche trägt die Verantwortung dafür, dass er für die Verarbeitung der Daten der betroffenen Personen (Partner, Kunden, Leads) eine Rechtsgrundlage nach Art. 6 DSGVO hat – z.B. Einwilligung oder berechtigtes Interesse. Der Auftragsverarbeiter haftet nicht für eine fehlende Rechtsgrundlage auf Seiten des Verantwortlichen.